Fortinet ha revelado que los actores de amenaza han incompatible una modo de sustentar el ataque de solo ojeada a dispositivos FortiGate vulnerables incluso a posteriori de que el vector de ataque original utilizado para violar los dispositivos fue parcheado.
Se cree que los atacantes apalancaron fallas de seguridad conocidas y ahora paradas, incluidas, entre otros, CVE-2022-42475, CVE-2023-27997 y CVE-2024-21762.
«Un actor de amenaza utilizó una vulnerabilidad conocida para implementar el ataque de solo ojeada a dispositivos FortiGate vulnerables», dijo la compañía de seguridad de la red en un aviso publicado el jueves. «Esto se logró mediante la creación de un enlace simbólico que conecta el sistema de archivos de agraciado y el sistema de archivos raíz en una carpeta utilizada para servir archivos de idioma para el SSL-VPN».
Fortinet dijo que las modificaciones tuvieron circunstancia en el sistema de archivos de agraciado y lograron eludir la detección, lo que provocó que el enlace simbólico (igualmente conocido como enlace simbólico) se quedara a espaldas incluso a posteriori de que los agujeros de seguridad responsables del ataque original se conectaron.
Esto, a su vez, permitió a los actores de amenaza para sustentar el ataque de solo ojeada a los archivos en el sistema de archivos del dispositivo, incluidas las configuraciones. Sin retención, los clientes que nunca han adaptado SSL-VPN no se ven afectados por el problema.
No está claro quién está detrás de la actividad, pero Fortinet dijo que su investigación indicó que no estaba dirigida a ninguna región o industria específica. Asimismo dijo que notificó directamente a los clientes que se vieron afectados por el problema.
A medida que otras mitigaciones para evitar que ocurran tales problemas nuevamente, se han implementado una serie de actualizaciones de software a Fortios.
- Fortios 7.4, 7.2, 7.0, 6.4 – El enlace simbólico fue afectado como bellaco para que el motor antivirus lo elimine automáticamente
- Fortios 7.6.2, 7.4.7, 7.2.11 y 7.0.17, 6.4.16 – Se eliminó el enlace simbólico y la interfaz de agraciado SSL -VPN se ha modificado para evitar la entrega de tales enlaces simbólicos maliciosos
Se recomienda a los clientes que actualicen sus instancias a las versiones de Fortios 7.6.2, 7.4.7, 7.2.11 y 7.0.17 o 6.4.16, revisen las configuraciones del dispositivo y traten todas las configuraciones como potencialmente comprometidas y realicen pasos de recuperación apropiados.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha emitido un aviso propio, instando a los usuarios a restablecer las credenciales expuestas y considerar deshabilitar la funcionalidad SSL-VPN hasta que se puedan aplicar los parches. El Equipo de Respuesta a Emergencias de la Computación de Francia (CERT-FR), en un boletín similar, dijo que es consciente de los compromisos que se remontan a principios de 2023.
En un comunicado compartido con The Hacker News, el CEO de WatchTowr, Benjamin Harris, dijo que el incidente es una preocupación por dos razones importantes.
«Primero, en la explotación salvaje se está volviendo significativamente más rápida de lo que las organizaciones pueden parchear», dijo Harris. «Más importante aún, los atacantes son muy conscientes de este hecho».
«En segundo circunstancia, y más aterrador, hemos gastado, en numerosas ocasiones, los atacantes desplegaron capacidades y traseros a posteriori de una rápida explotación diseñada para sobrevivir a los procesos de parcheo, aggiornamento y restablecimiento de taller que las organizaciones han confiado para mitigar estas situaciones para sustentar la persistencia y el ataque a las organizaciones comprometidas».
